Download presentation
Presentation is loading. Please wait.
1
校園網路流量監測 與 系統異常檢測
2
監測系統 Ping 網路服務偵測系統 MRTG NetFlow LikeScan http://ping.tn.edu.tw
MRTG NetFlow LikeScan
3
PING 學校www主機連通率區分為三種情況: 100% 、 90% 、 80%以下 ;分別以 綠色 、黃色 、 紅色 表示。
4
PING 狀況1:跳電、系統更新 網路斷線、DNS、 防火牆 狀況2:區域網路異常 狀況3:系統更新、 駭客攻擊、區網異常
5
網路服務偵測
6
TANET 網路維運中心
7
MRTG 狀況1:電腦中毒 僵屍電腦 狀況2:mail無法 寄出 狀況3:駭客入侵 狀況4:LOOP
8
NetFlow 當天7時、9時、12時、15時統計一次
9
NetFlow 流量統計 學校流出到TANET前100名統計
10
MailVirus 每日統計一次 監測SMTP協定
11
如何看懂 likeScan ? 網址 http://netflow.tn.edu.tw/likeScan/down.html
記錄每10分鐘 (主機:port)依flows數排出前100名 共有6組數字,分別用” . ”區隔( 例: ) 前4組為IP位置 第5組為協定 6:TCP , 17: UDP 第6組80為HTTP ( 21:FTP,25:SMTP,53:DNS,445…) 目標主機:代表不同主機數 FLOW:代表一次的行為 PACKETS : 封包數 Bytes:封包大小 ※ 分鐘內向1301台主機寄了4892次的信,很明顯超出正常合理行為,判定為異常。
12
LikeScan 統計各IP和PORT連線狀態
※ 分鐘內透過TCP 445 對 282台主機做了282次的連線,Packets和Bytes數也不大。 這樣的狀況大都是主機存在病毒,且透過TCP 445 做Scan行為,試途去感染其它電腦。
13
ESET SysInspector 軟體名稱: ESET SysInspector(NOD32免費系統檢測軟體) 官方網站 、 軟體下載
官方網站 、 軟體下載 ESET SysInspector 是一個分析電腦作業系統、處理程序、登錄檔和網路連接的免費應用程式。 藉由ESET SysInspector匯出 的記錄檔,把電腦中所收集 到的系統數據和資料傳送給 專業人員分析和威脅評估 。
14
案例分析 163.26.57.45在likeScan上看到有異常的TCP 445連線行為
使用ESET SysInspector對該電腦進行分析
15
VirSCAN 線上掃毒服務 網址:http://www.virscan.org/ 整合「37個防毒軟體」的線上掃毒服務!
相類似網站
16
ThreatExpert 病毒、木馬、蠕蟲…「行為分析」檢測工具
網址 submit.aspx
17
結語 每日至少能觀察學校流量狀況一次。 每日至少能觀察學校連通狀況一次。 電腦異常時處理步驟 請將有問題的電腦離線,阻止災害持續擴大。
使用工具軟體找尋可疑的程式和病毒並移除。 更新作業系統、病毒碼與相關應用程式至最新版本。 若問題還是存在,則重新安裝作業系統。
Similar presentations